Categorie: Geen categorie

‘Overheid schiet tekort in aanpak cybercrime’

  door

De overheid schiet tekort in de bestrijding van cybercrime. Sterker nog, de overheid werkt die ook nog eens deels zelf in de hand door ”geen paal en perk te stellen” aan de eigen informatiehonger en aan die van bedrijven. ”Mensen hebben geen idee wat er allemaal kan gebeuren met hun gegevens als criminelen er de hand op weten te leggen” (bron).

Een aantal leden van een relatiesite hebben zelf ondervonden wat de criminelen met de gegevens doen. Een 20-jarige man uit Arnhem en een 20-jarige vrouw uit Heteren zijn opgepakt op verdenking van afpersing via een relatiesite. De verdachten ontfutselden bezoekers van een relatiesite allerlei privegegevens en dreigden die informatie vervolgens openbaar te maken (bron).

Deze relatiezoekers zijn in ieder geval genaaid, maar of ze het ook lekker vonden?

Geldt overigens niet alleen voor relatiesites. Ook Loverboys maken gebruik van de kunst van het afpersen.
Loverboys lijken sociale netwerksites, jongerensites en chatboxen steeds vaker te gebruiken in hun zoektocht naar slachtoffers. Volgens de onderzoekers is er een grote overeenkomst tussen de manier waarop pedofielen en loverboys op het internet te werk gaan. Via zoekmachines zoeken ze hun slachtoffers op leeftijd, geslacht, woonplaats, hobby’s en eventueel opleidingsniveau uit (bron).

Vaders hou je dochters in de gaten. Voor je het weet gaat ze op kamers.

Webcam Google Hacks

  door

Eerder deze week had ik het al over alle devices die open staan op internet. Ook verwees ik daarbij naar de site van Johnny I Hack Stuff.

Om het concreet te maken, hier een paar simpele zoektermen voor Google waarmee openstaande webcams gevonden kunnen worden:

  • WebcamXP – “powered by webcamXP” “Pro|Broadcast”, hier een voorbeeld.
  • EvoCam – intitle:”EvoCam” inurl:”webcam.html”, hier een voorbeeld.
  • Hier een die we zelfs kunnen bedienen: /home/homeJ.html, hier een voorbeeld.

Ach, jullie begrijpen wat ik bedoel en kunnen de rest vast zelf wel vinden.

Juridische vraag: Zijn logbestanden bedrijfsgeheim?

  door

Een interessante juridische vraag die op security.nl gesteld wordt:
Wij zijn een klein hostingbedrijf en wilden onderzoek doen om de performance van de shared servers te verbeteren. De makkelijkste manier leek ons om simpelweg een top10 te maken met de grootste logfiles van de webserver logs, waaronder ook de error_logs met foutmeldingen. Bij een klant bleek die log wel erg groot (enkele gigabytes), en we hebben die doorgekeken om te zien waar dat door kwam. Het bleek een groot aantal (onschuldige) PHP foutmeldingen te zijn. We hebben de klant geinformeerd, met het verzoek om dit recht te zetten. De klant reageerde erg boos: die logfiles zouden bedrijfsgeheim zijn en wij hadden daar nooit in mogen kijken! (bron)

Samengevat is het antwoord:
Een bedrijf kan claimen dat bepaalde gegevens bedrijfsgeheim zijn, maar essentieel is dan wel dat zij kan bewijzen dat daarvoor geheimhouding wordt betracht. Er moet zeg maar een stempel “GEHEIM” op staan. Ook moeten mensen die met de informatie in contact komen, expliciet op geheimhouding zijn gewezen. Het is dan strafbaar (art. 273 Strafrecht) om die gegevens te verspreiden of publiceren…De systeembeheerder heeft echter een bijzondere positie. Vanuit zijn werk komt hij in aanraking met allerlei gegevens, en het kan goed gebeuren dat hij bestanden opent waarin bedrijfsgeheimen van klant en staan. Dat mag: art. 273d Strafrecht regelt dat je die mag inzien als het nodig is voor je werk als systeembeheerder. Wel heb je dan een zwijgplicht naar anderen toe.

Hier gaat het dan specifiek om de logfiles. Maar zo’n zelfde vraag speelt bij het uitbesteden van je informatievoorziening. Delen van systemen worden uitbesteed en de informatie staat dus bij een externe leverancier. Denk bijvoorbeeld aan databases, maar ook aan bijvoorbeeld Word-documenten. Een discussie die al jaren speelt (of je het nu intern of extern beheert maakt niet zoveel uit) is wat de beheerder mag zien en doen.

Een beheerder heeft graag alle rechten, onder het mom van: “anders kan ik mijn werk niet doen.” Vanuit beveiliging denken we daar natuurlijk anders over. Ja hij moet zijn werk kunnen doen (back-ups maken, autorisaties toekennen, etc.) maar hij hoeft geen toegang tot de gegevens te hebben. Anders gezegd: hij hoeft de content niet te kunnen zien.

Te vaak zien we dat de beheerder met zijn admin-account alle rechten op het systeem heeft, het management heeft daar geen besef van en ziet de risico’s niet. De beheerder kan dus bij alle financiele en vertrouwelijke gegevens. Toezicht (technisch of procedureel) daarop wordt nauwelijks uitgevoerd. Leuk hoor zo’n geheimhoudingsverklaring maar hoe gaan we dat controleren?

De vraag die het management zich moet stellen: welke rechten heeft de beheerder maximaal nodig om zijn werk goed te kunnen doen?

Door de rechten zoveel mogelijk te beperken voorkomen we niet alleen moedwillige acties maar ook simpele beheerdersfouten. Te vaak zien we dat de beheerder zijn reguliere werkzaamheden uitvoert met zijn beheerdersaccount terwijl hij daarvoor gewoon zijn gebruikersaccount kan gebruiken. Dit kan een hoop problemen voorkomen.

Tienduizenden routers en webcams wagenwijd open

  door

Op het internet staan tienduizenden routers, webcams en VoIP-systemen wagenwijd open voor hackers omdat eigenaren het standaard wachtwoord niet hebben gewijzigd…Via de openstaande routers kunnen aanvallers DNS instellingen wijzigen of andere systemen aanvallen, bijvoorbeeld voor het opzetten van een router-botnet. In het geval van de VoIP-systemen is het mogelijk om firmware te installeren en zo gesprekken op te nemen en af te luisteren (bron). Moet nog uitgelegd worden wat je met de webcams kan?

Goed het lijkt misschien simpel (en dat zal het ook best zijn), maar voor iedereen die niet zo technisch is, is het nog steeds moeilijk om de webcam van “the girl nextdoor” te bekijken. En laten we eerlijk zijn, dat is maar goed ook.

Dit herinnert me trouwens aan een site die ik jaren geleden al tegen kwam, namelijk die van Johnny I hack stuff. Even kijken of hij nog bestaat…ja hoor, hij is er nog, kijk maar. Johnny heeft het voor de niet techneuten onder ons makkelijk gemaakt. Door middel van onze grootste vriend (Google) kunnen we allemaal gebruik maken van apparatuur die op het internet is aangesloten.

Even voor de goede orde: ik moedig jullie niet aan om de links uit de database ook echt te gebruiken, als je dat doet is dat geheel je eigen verantwoordelijkheid.

Was Big Brother een aantal jaar geleden nog heel erg spraakmakend, nog even en we kunnen zelf kiezen van wie we de real life soap in de gaten houden. En in dit geval hebben we het dan ook echt over real life, de echte Truman Show, maar dan van jouw leven of dat van Manon Thomas bijvoorbeeld.

Het nieuwe speeltje is binnen en werkt

  door

Het nieuwe speeltje dat ik besteld heb, is binnen:

“This Device will search all the Wireless 2.4GHz Spy Cameras (up to 4 sets), then Grab the Video & Audio Signal to your PC Automatically. What’s more, this device comes with a Security Monitoring System. With this Receiver, you can turn your PC as a Security Centre to monitor your places.”

Gelijk maar even proberen natuurlijk en wat denk je…hij werkt. Beter zelfs dan verwacht want vanuit de huiskamer krijg ik direct twee wireless camera’s in beeld.

Beeld is niet scherp, maar ik weet de afstand ook nog niet. Binnenkort ga ik maar eens proberen te achterhalen waar deze camera’s zich bevinden…als dat lukt volgt uiteraard een update.